はてなブックマーク

RapperBotとは NICTでは、日本国内のNVR/DVRなどのIoT機器を標的として感染活動を行い、DDoS攻撃を実施するRapperBotと思われるボットネットの攻撃キャンペーンを観測しました。 RapperBotは、Miraiと呼ばれるIoTマルウェアの亜種であり、Miraiのソースコードを改良して開発されている形跡がサンプルに見られます。感染活動の目的は主にDoS攻撃ですが、過去にはクリプトジャッキングを新たに取り入れた活動も観測されています。今回観測したキャンペーンの中で、特定のホストに対するDoS攻撃を観測することに成功しました。 本ブログでは、今回観測されたRapperBotの感染源となる標的機器及びボットネットのコアな機能と、DoS攻撃の標的について紹介します。 キャンペーンの概要 直近で確認できたRapperBotのキャンペーンの変遷を図に示します。NICTでは202

はじめに NICTER プロジェクトのダークネット観測網における 2024 年第 1 四半期（1月～3月）の観測結果を公開します． 2024 年第 1 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 IoT マルウェア の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2024 年第 1 四半期に観測した事象について ロシアの大量のホストからのバックスキャッタの観測 2024年第1四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1． 2024 年第 1 四半期の 1 IP アドレス当たりの総観測パケット数（総観測パケット数を観測 IP アドレス数で正規化した値）は 2023 年第 4 四半期と比較すると増加しました． 日毎のパケット数とユニークホスト数の推移 図 1 に日毎の観測パケット数，ユニ

NICTER プロジェクトでは IoT 機器の脆弱性に関する調査や脆弱性を悪用した攻撃の観測などを行なっています．今回，ASUS 製のルータとその管理用アプリ「ASUS Router App」の DDNS 機能を悪用してルータの認証情報を取得する新しい攻撃手法を発見し，この脆弱性について，製造元である ASUS に正式に報告を行いました． これを受け ASUS は，2023年7月25日に“Strengthening DDNS Security for RT-AX1800U, RT-AX3000, RT-AX3000 v2, RT-AX86U, TUF-AX3000 and TUF-AX5400” と題するアドバイザリを公開しています． 2023年12月の時点で，世界中に100万台以上のルータがこの問題の影響を受けるリスクがあると推定されています．もし攻撃を受けた場合，ルータの認証情報（ユー

Posted on 2023-10-31 |  Yukiko Endo, Yoshiki Mori, Masaki Kubo はじめに NICTER プロジェクトのダークネット観測網における 2023 年第 3 四半期（7月～9月）の観測結果を公開します． 2023 年第 3 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 Mirai の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2023 年第 3 四半期に観測した事象について 日本国内における LTE 対応ルータの Mirai 感染事例 2023年第3四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1．2023 年第 3 四半期の 1 IP アドレス当たりの総観測パケット数（総観測パケット数を観測 IP アドレス数で正規化した値）は 20

Posted on 2023-08-08 |  Yukiko Endo, Yoshiki Mori, Masaki Kubo はじめに NICTER プロジェクトのダークネット観測網における 2023 年第 2 四半期（4月～6月）の観測結果を公開します． 2023 年第 2 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 Mirai の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2023 年第 2 四半期に観測した事象について 台湾メーカ製 DVR を使用する児童見守りシステムの感染 Hunt Electronic 社製 IP カメラの感染 2023年第2四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1．2023 年第 2 四半期の 1 IP アドレス当たりの総観測パケット数（総観測パケ

Posted on 2023-04-26 |  Yukiko Endo, Yoshiki Mori, Masaki Kubo はじめに NICTER プロジェクトのダークネット観測網における 2023 年第 1 四半期（1月～3月）の観測結果を公開します． 2023 年第 1 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 Mirai の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2023 年第 1 四半期に観測した事象について Xiongmai 製 DVR 機器の DVRIP プロトコルを悪用した攻撃の観測 国内モバイル回線における Mirai 感染ホスト数の増加 2023年第1四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1．2023 年第 1 四半期の 1 IP アドレス当たりの総観

はじめに SOC アナリストにとって，監視対象のログをどこまで保全できるかというのは，インシデント調査を行う上で重要な要素になります．特にトラフィックのフルキャプチャデータは，検出されたサイバー攻撃の詳細調査やサイバー攻撃の影響範囲を特定する上で重要なデータです．NICT の解析チームでは，フルパケットキャプチャおよびパケット分析ツールの一つとしてオープンソースの Arkime を利用しています．セキュリティオペレーションにおいて Arkime は非常に強力なツールですが，日本語で紹介している情報があまり多くないため，今回は NICT のライブネット観測システムにおける運用方法や実際に Arkime を活用した事例をご紹介します． Arkime とは Arkime はオープンソースのパケットキャプチャ＆パケット検索ツールです．以前は Moloch という名称でした．シンプルな Web イン

はじめに NICTER プロジェクトのダークネット観測網における 2022 年第 4 四半期（10月～12月）の観測結果を公開します． 2022 年第 4 四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 Mirai の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2022 年第 4 四半期に観測した事象について Fortinet 製品の認証バイパスの脆弱性を悪用した攻撃の観測 2022年第4四半期の観測統計 総観測パケット数 表 1 に総観測パケット数の統計値を示します1．2022 年第 4 四半期の 1 IP アドレス当たりの総観測パケット数（総観測パケット数を観測 IP アドレス数で正規化した値）は 2022 年第 3 四半期からやや増加しました． 日毎のパケット数とユニークホスト数の推移 図 1 に日毎の観測パケット数

Posted on 2022-10-20 |  Yoshiki Mori, Yurina Takase はじめに 本記事では，IoT機器を攻撃対象とするDDoS ボットへの感染活動のうち，韓国の FocusH&S が製造する防犯カメラ用デジタルビデオレコーダー（以下DVR）を狙った攻撃の観測結果を紹介します． FocusH&S 社は DVR の製造を行う韓国の企業です． 本調査では，国内販売代理店の一つであるユニモテクノロジー株式会社から販売されていた機器およびファームウェア（Ver.2.0.19.1）を用いて脆弱性の調査や実機に対する攻撃観測を行いました． マルウェアに悪用された当該機器の脆弱性 (CVE-2022-35733) はすでに修正済みで，販売元であるユニモテクノロジー株式会社からも脆弱性情報1と修正済みファームウェア2が公開されています．当該機器のユーザは速やかにファームウェ

はじめに 著名な人や役職のある人ほど機密情報を保有している可能性が高くフィッシングやマルウェア感染を狙うメールが送信されるなど、攻撃の対象となりやすいと以前から言われていますが本当にその傾向はあるのでしょうか？本ブログでは、実際にNICT職員宛のフィッシングメールを集計し、攻撃対象となった職員を役職有無や勤務年数別に分けて受信件数を分析してみました。なお、調査対象期間のデータは、約1か月（2022/3/28-2022/5/1）となります。 概要 不審メールに関するアプライアンスの検知件数を週ごとに集計すると、多くはフィッシングメールに関するもので週ごとに増減があることを確認しました。 NICT内での役職有無による一人当たりのフィッシングメールの受信数を調査した結果、役職が有るグループが役職の無いグループに比べて、約3倍フィッシングメールを受信していることを確認しました。また、勤務年数で見て

はじめに Mirai 感染ホスト（国内）が1日に数十～数百回 IP アドレスが変動し，実感染ホスト数以上に観測してしまう問題については過去にブログ1 で紹介しました．本ブログでは，IP アドレスの変動事象の背景にある，フレッツ網における PPPoE 接続と IP アドレス取得のメカニズムと PPPoE セッションの切断を引き起こす機器への負荷について調査した結果を報告します． ※今回の調査は フレッツ回線(PPPoE) にてインターネットに接続する環境を想定して検証を行いました．IPv6 を使用する IPoE 方式や 5G，LTE などのモバイル環境では調査をおこなっておらず，それらの環境で同様の IP アドレス付け替えが発生するのかは不明です． 概要 Mirai に感染したロジテック製ルータにおいて，実際には1台の機器が，1日に複数回 IPアドレスが変動することで実数以上のカウントをして

はじめに NICTER プロジェクトのダークネット観測網における2021年第4四半期（10～12月）の観測結果を公開します．2021年1年間の観測・分析結果をまとめたNICTER 観測レポート2021も公開していますので，年間統計についてはそちらをご参照ください． 2021年第4四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 Mirai の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2021年第4四半期に観測した事象について Hikvision の脆弱性を狙った攻撃の観測 Apache Log4j v2 の脆弱性を狙った攻撃の観測 2021年第4四半期の観測統計 総観測パケット数 表1に総観測パケット数の統計値を示します1．2021年第4四半期の1IP アドレス当たりの総観測パケット数（総観測パケット数を観測IP アドレス

Posted on 2022-03-04 |  Shouta Ishihara, Takashi Matsumoto はじめに 2021年11月中旬以降，日本国内において Emotet と呼ばれるマルウェアの活動再開が確認されており，独立行政法人情報処理推進機構（IPA）や一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）が Emotet の活動再開に関する注意1 2 を呼びかけています． 本ブログでは，2021年12月から2022年2月にかけて，我々が観測した Emotet への感染を狙ったメール（以降，Emotet メール）ついて分析した結果を紹介します． (2022年3月4日) 2022年3月1日から現時点で既に 2月の件数を越える量の Emotet メールを確認しています．本ブログに記載している特徴から変化している場合がありますので，ご注意ください． 概要

はじめに NICTER プロジェクトのダークネット観測網における2021年第3四半期（7～9月）の観測結果を公開します． なお，プロジェクトの公式サイトNICTER WEB でも，観測データの⼀部をリアルタイムで可視化したり，統計情報として公開したりしていますので，そちらもご参照ください． 2021年第3四半期の観測統計 総観測パケット数 日毎のパケット数とユニークホスト数の推移 Mirai の攻撃ホスト数の推移 調査スキャナについて 宛先ポート別パケット数 国別パケット数 2021年第3四半期に観測した事象について Mozi Botnet のスキャン活動の観測 Realtek SDK の脆弱性を狙った攻撃の観測 GRE プロトコルのパケットの観測 2021年第3四半期の観測統計 総観測パケット数 表1に総観測パケット数の統計値を示します．2021年第3四半期の1IP アドレス当たりの総観

はじめに 2021年4月頃から、細工した RTF ファイルを使って WarzoneRAT、AgentTesla、SnakeKeylogger、NanoCore、Remcos への感染を狙うキャンペーンを確認しています。 このキャンペーンは、細工された RTF ファイルをメールに添付して配信しており、以下の特徴が見られます。 医薬品会社やプラスチック容器メーカーなどの企業に成りすましたメールを使用し、請求書の確認を促す。 CVE-2017-8570 の脆弱性を利用して、マルウェアに感染させる。 1 つのメールに複数の RTF ファイルが添付されていることがある。 ダウンロードされるマルウェアの設定値が使い回されている。 本ブログでは、RTF ファイルの特徴とダウンロードされるファイルについて紹介します。 メールに添付された RTF ファイル メールに「Invoice # 406496.doc

はじめに NICTER プロジェクトでは，ダークネット観測網で捉えたMirai の特徴を持つパケットの送信元（以下 Mirai 感染ホスト）について，その感染の実態を把握するため，機器特定につながる各種情報の収集と分析を行っています．この記事では, 2021年以降に日本国内で観測された Mirai 感染ホストについて，バナー情報の収集で明らかになった機器の実態について報告します． 概要 2021年以降，日本国内の Mirai 感染ホストは概ね 1,000 ホスト前後で推移 Mirai 感染ホストのバナー収集を行った結果，約半数がロジテック製ルータ（LAN-W300シリーズ）であることが判明 脆弱な実機を用いて検証を行った結果，以下の2機種が実際に感染し DDoS 攻撃の踏み台となることを確認 LAN-WH300N/DR LAN-W300N/DR 再感染を繰り返す脆弱なロジテック製ルータは約

はじめに NICT では，昨年5月頃より，NanoCore と呼ばれる RAT の C2 サーバの追跡やオペレータの誘引実験および行動分析を行っていました．本ブログでは，誘引実験の際に行った NanoCore の解析とオペレータの誘引実験の結果について共有します． NanoCore について NanoCore の解析（通信の復号と読み方について） 構成情報の抽出 サーバとクライアント間の通信フロー NanoCore プラグイン C2サーバの稼働状況 NanoCore オペレータの行動 なお，本ブログの内容は，Botconf20201，JSAC20212 で発表しております． NanoCore について NanoCore は，2013年に初めて登場した Remote Access Trojan（RAT）で，2021年現在でも未だに攻撃に使用されています．NanoCore には，画面共有，ファ

Posted on 2020-12-23 |  Shouta Ishihara, Takashi Matsumoto Emotet に便乗するマルウェアを確認 NICT では，2020年10月から Emotet への感染を狙ったメールが減少し，Emotet と入れ替わるように，10月中旬から Emotet に便乗したマルウェアの感染を狙ったメール（以降，Emotet 便乗型メール）を観測しました． Emotet 便乗型メールには，Zloader1，IcedID2 3，Agent Tesla4のダウンローダが添付されており，次の特徴がありました． Zloader，Agent Tesla: Emotet の外観が流用されていました．ただし，Emotetと違い doc ファイルではなく，Excel ファイルが使用されていました． IcedID: メール本文が前回の観測で見られた zip ファイル

はじめに NICTERプロジェクトの大規模サイバー攻撃観測網（ダークネット観測網）における2020年7月1日から9月30日までの四半期の観測結果を公開します． なお，プロジェクトの公式サイトNICTER WEB でも，観測データの⼀部をリアルタイムで可視化したり，統計情報として公開していますので，そちらもご参照ください． 2020年第3四半期の観測統計 総観測パケット数 表1にNICTERプロジェクトにおける2020年各四半期の総観測パケット数，総観測パケット数を観測IPアドレス数（約30万）で正規化した値を示します．総観測パケット数は観測IPアドレス数に影響されるため，表の右端の値がその期間のスキャン活動の活発さを表しています． 2020年第3四半期の1IPアドレス当たりの総観測パケット数は2020年第2四半期よりは下回ったものの，インターネット空間のスキャン活動は依然として活発な状況で

はじめに サイバーセキュリティ研究室 解析チームでは NICTER のダークネット観測網に届くパケットの分析や送信元ホストに関する調査を日々行っています． 今回のブログでは，2020年8月下旬に IoT マルウェア Mirai の特徴を持つパケットの日本の送信元 IP アドレス数が1日で数十倍に増加した事象について紹介します． IP アドレス数の急増とインターネットサービスプロバイダの偏り 2020年8月23日，Mirai の特徴を持つパケットの日本国内の送信元 IP アドレス数が数百から 5,365 個へと急増しました（図1）． 日本国内の Mirai に関連する IP アドレス数の推移（図1）を見ると，2017年の11月に大規模な感染が観測され，2018年後半以降は多少の増減を見せながらも概ね 1,000 IP アドレス以下で推移していました．2020年に入っても増減の山は何度か見られ

はじめに 2020年7月中旬以降，日本国内において Emotet と呼ばれるマルウェアの活動再開が確認されており，独立行政法人情報処理推進機構（IPA）や一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）が Emotet の活動再開に関する注意1 2 3を呼びかけています． NICT では，2020年2月上旬から Emotet への感染を狙ったメール（以降，Emotet メール）が観測されない状態が続いていましたが，7月下旬より Emotet メールを観測しています．特に，2月以前には見られなかった特徴として，以下2点が挙げられます． NICT を標的とする事例を確認: NICT には11,421件の Emotet メールが届きました．このうち，10,603件の Emotet メールについては，攻撃者が NICT の過去の取引先組織を装って，NICT の一部メーリ

はじめに NICTERプロジェクトの大規模サイバー攻撃観測網（ダークネット観測網）における2020年4月1日から6月30日までの四半期の観測結果を公開します． なお，プロジェクトの公式サイトNICTER WEB でも，観測データの⼀部をリアルタイムで可視化したり，統計情報として公開していますので，そちらもご参照ください． 2020年第2四半期の観測統計 総観測パケット数 表1にNICTERプロジェクトにおける過去3年間の年間総観測パケット数，総観測パケット数を観測IPアドレス数（2018年以降の観測IPアドレス数は約30万）で正規化した値を示します．総観測パケット数は観測IPアドレス数に影響されるため，表の右端の値がその年のスキャン活動の活発さを表しています． 2020年第2四半期の1IPアドレス当たりの総観測パケット数は2020年第1四半期を上回る値となっており，インターネット空間のスキ

概要 2020年2月以降，NICTER のダークネット観測網に届く9530/tcp 番ポート宛の通信が急増しています． 増加の背景には，このポートに特定のデータを送り込むことで，一部のメーカのビデオレコーダ機器において Telnet が有効になるというバックドアの脆弱性がインターネット上に公開されたことがあります．我々はこのバックドアの悪用を試みる攻撃をハニーポットで観測しています． 当該機器は日本国内においても販売・使用されており，機器のユーザは，機器の乗っ取りや監視カメラの映像の盗み見の被害を受けないために，脆弱性への対応を早急に行う必要があります． 本ブログでは，9530/tcp 宛通信の観測状況を紹介するとともに，バックドアを悪用された機器の特徴と対策方法について調査した結果を紹介します． 9530/tcp 番ポート宛通信の増加 2020年2月以降，9530/tcp 番ポート宛通信

はじめに 世の中には，サイバーセキュリティアナリストのコミュニティやセキュリティベンダ等の組織によって提供されているサイバー脅威情報が数多く存在します． これらの情報は，例えばIDS等のセキュリティ機器で検知された通信を調査するような場面において，通信先が悪性であるかを判定するための材料として有用です． このため，セキュリティオペレーションの現場では，特定のインディケータ情報に関連する脅威を調査する作業が度々発生します． しかし，サイバー脅威情報の粒度や提供方法は様々であり，調査作業が発生する度に手動で多数の情報源と突合するのは非効率です． NICTER解析チームは，サイバー脅威情報を自動集約することでこのようなタスクの処理を効率化するためのツールとしてEXISTを開発し，日頃の調査解析業務に利用しています．また，同様の課題を抱える解析者や研究者にも活用してもらえるよう，オープンソースソフ

Observing Cybersecurity through Darknet Cisco Smart Install プロトコルを狙った攻撃の急増 Cisco Talos は Cisco 製 Switch で利用されている機器の遠隔管理用プロトコル “Cisco Smart Install” を悪用した攻撃の増加について注意を呼びかけ，対策方法を解説するドキュメントを公開しています． Critical Infrastructure at Risk: Advanced Actors Target Smart Install Client (日本時間 2018年4月5日23:55 公開) Cisco の情報によると，潜在的に脆弱な機器の数は 168,000 以上に上るとされ，日本国内においても10,000台弱の機器が潜在的に脆弱な状態に置かれていると推測されます．複数の国で当該事象が原因とみ

Observing Cybersecurity through Darknet Wi-Fi ルータの DNS 情報の書換え後に発生する事象について 3月15日ごろより，Twitter やブログ等で，自宅のWi-FiルータのDNS 情報が書き換えられ，インターネットに接続できなかったり，不審な Androd アプリケーションがダウンロードされるという情報が公開されています． 一部の情報では，Wi-Fi ルータの脆弱性が悪用された結果マルウェア感染し，DNS 情報が書き換えられたという見解がみられますが，本エントリの執筆時点，NICTER では，Wi-Fi ルータの DNS 情報がどのような方法で書き換えられたのか．また，Mirai 亜種等 IoT ボットの活動との関連性について，事実関係を把握していません． 一方で，DNS 情報が書き換えられた後に発生する事象については，いくつかの事実が判明